Comment consulter les journaux de Windows Installer et comprendre les enregistrements d'installation

Lorsqu'une installation de Windows, ou de n'importe quel programme d'ailleurs, dysfonctionne, notre première réaction est généralement de penser que « Windows a complètement déraillé ». Cependant, derrière ce problème se cache une quantité considérable de… Informations enregistrées dans les journaux de Windows Installer et autres fichiers journaux qui peut vous indiquer précisément ce qui se passe, où le processus a dysfonctionné et, souvent, comment y remédier.

Au lieu d'installer à l'aveuglette et de croiser les doigts, il est beaucoup plus pratique d'apprendre. Comment consulter les journaux d'installation et les journaux système de WindowsCes journaux constituent un enregistrement technique de tout ce qui se passe lors de l'installation de Windows, des pilotes, des applications, ou même lors d'une mise à jour majeure. Savoir où ils se trouvent, ce qu'ils contiennent et comment les ouvrir est essentiel pour quiconque souhaite assurer sérieusement la maintenance de son PC.

Que sont les journaux d'installation de Windows et pourquoi devriez-vous vous en soucier ?

Les fichiers journaux d'installation de Windows sont, en substance, Des fichiers texte ou binaires dans lesquels chaque étape exécutée par le programme d'installation est enregistréeCe journal enregistre les actions effectuées, les composants copiés, les pilotes chargés, les erreurs ou avertissements générés, et bien plus encore. Windows utilise différents mécanismes de journalisation : Windows Installer, Windows Setup, SetupAPI, ETW (Event Tracing for Windows), etc.

Ces enregistrements deviennent particulièrement importants lors d'une installation Il n'affiche pas de messages d'erreur clairs ou il « disparaît » tout simplement sans autre explication.Par exemple, imaginez que vous insérez un CD d'installation d'onduleur, acceptez l'invite du Contrôle de compte d'utilisateur et que la fenêtre se ferme sans rien installer. Dans ce cas, le journal peut indiquer si le programme d'installation n'a pas pu charger un pilote, si l'accès au système a été bloqué ou si un composant requis est manquant.

Outre les programmes d'installation d'applications, le système d'exploitation lui-même génère Journaux détaillés lors de l'installation de Windows, des mises à jour majeures et des phases de démarrageMicrosoft structure ces journaux par phases (rétrogradation, WinPE, configuration en ligne, accueil et restaurations possibles) et, dans chacune d'elles, enregistre des fichiers spécifiques dans des chemins spécifiques, ce qui est essentiel pour les diagnostics avancés.

Outre l'installation, Windows assure également la maintenance journaux système, d'application et de sécurité Ces journaux sont principalement accessibles via l'Observateur d'événements. Ils enregistrent les pannes matérielles, les problèmes de pilotes, les plantages de programmes, les tentatives de connexion et bien plus encore, ce qui les rend essentiels pour le dépannage des plantages, l'investigation des incidents de sécurité et l'analyse des pannes récurrentes.

Où Windows stocke-t-il les journaux d'installation du système ?

Quand on parle de « journaux d'installation de Windows », beaucoup de gens pensent uniquement aux installations de programmes MSI, mais le système d'exploitation lui-même… Il génère une grande quantité de journaux tout au long du processus d'installation et de mise à niveau.Ces journaux ne sont pas tous stockés au même endroit, mais leur emplacement change en fonction de la phase de configuration.

De manière générale, on trouve un dossier principal dans presque toutes les versions modernes : %WINDIR%\PanthèreCe répertoire (généralement C:\Windows\Panther) contient de nombreux fichiers d'installation essentiels, tels que setupact.log, setuperr.log ou le journal des événements de performance Setup.etl. Avant que le programme d'installation n'ait un accès complet au disque système, des répertoires temporaires comme X:\Windows\Panther sont également utilisés lors de la pré-installation.

Outre Panther, d'autres lieux importants entrent en jeu, tels que %WINDIR%\Inf (où sont stockés les journaux SetupAPI pour les pilotes et les applications) ou les fichiers de vidage mémoire Memory.dmp et Minidump.dmpqui peut apparaître lorsqu'une installation provoque une erreur grave de type écran bleu.

Un autre ensemble important de chemins apparaît lors des mises à jour et migrations système, où des dossiers spéciaux sont créés, tels que : C:\$WINDOWS.~BT\Sources\Panther Cela inclut les journaux des disques physiques (C:) et des lecteurs temporaires (X:) lors du démarrage à partir du support d'installation. Les journaux de migration et les vérifications matérielles habituelles se trouvent ici.

Il convient également de tenir compte des fichiers journaux spécifiques des outils d'évaluation et de performance, tels que : C:\Windows\Performance\Winsat\winsat.log, ce qui reflète le résultat des tests de l'outil d'évaluation du système Windows (WinSAT) effectués lors de la phase de configuration finale.

Phases de configuration de Windows et ses fichiers de registre

L'installation et les mises à jour de Windows ne constituent pas un processus unique et monolithique, mais sont divisées en plusieurs phases distinctes, chacune avec ses propres fichiers journauxLa localisation du fichier correct dépend du moment où la panne ou le comportement anormal s'est produit.

Phase de descente de niveau (programme d'installation exécuté à partir du système précédent)

La phase de descente est l'étape initiale au cours de laquelle Le programme d'installation de Windows s'exécute à partir du système d'exploitation déjà installé. (Par exemple, lors d'une mise à niveau de Windows 7 vers Windows 10). Durant cette phase, le système continue d'utiliser une grande partie des ressources du système précédent et prépare l'environnement pour la mise à niveau vers la nouvelle version.

À ce stade, vous devrez consulter des fichiers tels que C:\WINDOWS\setupapi.log dans les systèmes plus anciens (XP et versions antérieures), où les modifications apportées aux périphériques, aux pilotes et aux modifications importantes du système, telles que les Service Packs ou les révisions critiques, sont enregistrées.

De plus, des dossiers spéciaux sont créés à la racine du lecteur système, tels que : C:\$WINDOWS.~BT\Sources\PantherPlusieurs journaux fondamentaux sont générés au sein de cet itinéraire :

• setupact.log: décrit les actions générales de l'installateur durant cette phase.
• setuperr.log: enregistre les erreurs survenues lors de l'installation.
• miglog.xml: contient des données sur la structure du répertoire utilisateur et les identifiants de sécurité (SID) associés.
• PreGatherPnPList.log: stocke la première capture de l'inventaire des appareils détectés dans le système.

Ces fichiers sont particulièrement utiles pour déterminer, par exemple, si Un pilote incompatible ou un périphérique inhabituel bloque la mise à jour.ou en cas de problème lors de la migration du profil utilisateur.

Phase de l'environnement de préinstallation Windows (WinPE)

Dans la phase WinPE, les chemins d'accès aux journaux peuvent pointer vers un lecteur temporaire X: ou vers le lecteur C: lui-même, selon la manière dont l'installation a été lancée, et c'est possible accéder à CMD pendant l'installationVous reverrez les dossiers. X:$WINDOWS.~BT\Sources\Panther o C:\$WINDOWS.~BT\Sources\Panther, où sont stockés des fichiers similaires à ceux de la phase précédente :

• setupact.log: détails des actions d'installation.
• setuperr.log: liste des erreurs produites.
• miglog.xml: informations sur la structure du répertoire utilisateur et les SID.
• PreGatherPnPList.log: compilation initiale des appareils Plug and Play.

La principale différence, c'est que maintenant Windows a déjà chargé un environnement d'installation plus indépendant du système précédent.Par conséquent, toute erreur affichée ici peut être liée à l'accès au disque, aux partitions, à la compatibilité matérielle de base ou à des fichiers endommagés sur le support d'installation.

Phase de configuration en ligne (premier démarrage après l'installation)

Une fois la copie des fichiers et la configuration initiale terminées, Windows démarre pour la première fois dans le nouvel environnement et accède à ce que l'on appelle le système. phase de configuration en ligneC’est à ce moment-là que vous voyez des messages comme « Veuillez patienter un instant pendant que Windows se prépare à démarrer pour la première fois » ou « Mises à jour en cours NN% ».

Durant cette étape, le système installe le compatibilité matérielle de base Et, s'il s'agit d'une mise à niveau, elle migre les données, les programmes et les paramètres. Les journaux les plus importants de cette phase se trouvent ici :

• C:\WINDOWS\PANTHER\setupact.log: journal des actions d'installation.
• C:\WINDOWS\PANTHER\setuperr.log: liste des erreurs ou avertissements critiques.
• C:\WINDOWS\PANTHER\miglog.xml: détails de la structure du répertoire et de la migration des profils utilisateurs.
• C:\WINDOWS\INF\setupapi.dev.logInformations détaillées sur les périphériques Plug and Play et le processus d'installation des pilotes.
• C:\WINDOWS\INF\setupapi.app.log: données sur l'installation des composants et des applications.
• C:\WINDOWS\Panther\PreGatherPnPList.log y PostGatherPnPList.log: inventaire des appareils avant et après cette phase.

Si votre ordinateur reste bloqué sur « Préparation de Windows » ou à un pourcentage de mise à jour pendant une période prolongée, Ces journaux vous permettent de voir quelle partie du processus est bloquée.qu'il s'agisse d'un pilote vidéo défectueux, d'un périphérique USB problématique ou d'une erreur lors de la migration d'une application.

Phase de bienvenue de Windows (OOBE)

Lorsque l'installation est presque terminée, elle entre dans la phase dite de Bienvenue sur Windows ou OOBE (expérience de première utilisation). Dans ce cas, des données telles que le nom de l'ordinateur sont demandées, des comptes d'utilisateurs sont créés et des tests de performance du système sont effectués pour calculer l'indice de performance Windows (dans les versions où cette fonctionnalité existe).

Dans cette phase, les données sont à nouveau concentrées dans les zones Panther et INF, avec des itinéraires tels que :

• C:\WINDOWS\PANTHER\setupact.log y setuperr.logIls continuent à enregistrer les actions et les erreurs.
• C:\WINDOWS\PANTHER\miglog.xml: continue de refléter les données de migration des utilisateurs.
• C:\WINDOWS\INF\setupapi.dev.log y setupapi.app.log: pilotes et applications.
• C:\WINDOWS\Panther\PreGatherPnPList.log y PostGatherPnPList.log: vérification finale des appareils connectés.
• C:\WINDOWS\Performance\Winsat\winsat.log: résultats des tests de l'outil d'évaluation du système.

Si, après avoir créé l'utilisateur et accédé au bureau, vous constatez que le système C'est beaucoup plus lent que prévu, ou certains composants ne fonctionnent pas correctement.L'examen des fichiers winsat.log et des journaux des pilotes peut vous donner des indices sur le composant matériel défaillant ou sur le pilote qui a pu échouer pendant le test.

Phase de restauration (lorsque la mise à jour échoue et que vous revenez à la version précédente)

Toutes les installations de Windows ne réussissent pas. Lorsqu'une mise à jour majeure échoue, le système tente généralement de… annuler les modifications et revenir au bureau précédentDans ces cas-là, des journaux d'activité précieux sont également générés pour comprendre ce qui s'est mal passé.

En cas de restauration, vous retrouverez le dossier. C:\$WINDOWS.~BT\Sources\Panthermais avec quelques fichiers supplémentaires spécifiques à cette phase :

• setupact.log: actions réalisées lors de la tentative d'installation et de son annulation.
• miglog.xml: détails de la migration du répertoire utilisateur.
• setupapi\setupapi.dev.log: pilotes et périphériques pendant l'installation/la restauration.
• setupapi\setupapi.app.log: applications concernées.
• PreGatherPnPList.log y PostGatherPnPList.log: inventaire avant et après la tentative de mise à jour.

Lorsqu'une mise à jour échoue et que vous vous retrouvez sur le système précédent avec un message générique, Ces journaux constituent le point de départ pour déterminer si le problème provenait d'un pilote incompatible, d'un échec de migration de données ou d'une erreur du support d'installation.Ce sont également les fichiers que le support technique de Microsoft demande généralement lorsqu'un dossier de ce type est ouvert.

Journaux d'événements d'installation de Windows et observateur d'événements

Outre les fichiers texte classiques, Windows enregistre également une grande partie des informations d'installation dans un fichier de trace binaire appelé Configuration.etl, qui se trouve généralement dans le dossier %WINDIR%\PanthèreCe fichier fait partie du système Event Trace for Windows (ETW) et collecte les informations suivantes : Détails des événements et du processus d'installation.

Pour consulter le contenu du fichier Setup.etl, l'ouvrir simplement avec le Bloc-notes ne suffit pas : il faut utiliser… Observateur d'événements ou outils en ligne de commandeLa première chose à faire est de s'assurer que vous utilisez les fournisseurs ETW appropriés, qui sont inclus dans le support d'installation de la même version de Windows que celle que vous analysez.

Si vous analysez des journaux sur une machine où le kit d'outils correspondant n'est pas installé, vous pouvez exécuter un script à partir de la racine du support d'installation Windows pour enregistrer le fournisseur ETW nécessaire. La commande typique dans la console ressemblerait à ceci :

Cscript D:\sources\etwproviders\etwproviderinstall.vbs install D:\sources\etwproviders

Dans cet exemple, la lettre D Cela concerne le lecteur sur lequel le DVD ou la clé USB d'installation est monté(e). Une fois le logiciel installé, l'Observateur d'événements pourra interpréter correctement les informations. extraire les données de Setup.etl et les afficher dans un format lisible.

Comment consulter les événements d'installation dans l'Observateur d'événements

L'Observateur d'événements est l'outil standard de Windows pour la consultation des événements. journaux système, applications, sécurité et événements d'installationPour consulter le journal d'installation enregistré dans Setup.etl, vous pouvez suivre cette procédure générale :

1. Ouvrez l'Observateur d'événements depuis le menu Démarrer ou en exécutant eventvwr.msc.
2. Dans le panneau de gauche, développez la section Journaux Windows et sélectionnez Système (ou le registre approprié, selon le cas).
3. Dans le panneau de droite, cliquez sur Ouvrir l'enregistrement sauvegardé et recherchez le fichier Configuration.etl, qui par défaut se trouve dans %WINDIR%\Panthère.
4. Une fois chargé, le contenu de Setup.etl s'affichera sous forme de liste d'événements pouvant être filtrés, triés et recherchés.

Cette vue vous permet de vous concentrer sur les éléments pertinents pour l'installation ou la mise à jour que vous examinez, en filtrant par niveau (erreur, avertissement, information) ou par identifiant d'événement, et en consultant les détails techniques de chaque entrée.

Exporter les journaux d'installation au format texte ou XML

Il est utile dans de nombreuses occasions. Exportez les journaux d'installation au format texte ou XML. pour les analyser avec d'autres outils, les partager avec le support technique ou simplement les archiver. Pour cela, vous pouvez utiliser des utilitaires en ligne de commande intégrés tels que : WevtutilComment o Tracerpt.

Par exemple, pour afficher le contenu du fichier Setup.etl depuis la console à l'aide de Wevtutil, vous pouvez exécuter :

Wevtutil qe /lf C:\windows\panther\setup.etl

Et si vous préférez traiter la trace avec Tracerpt pour générer des rapports, vous pouvez utiliser :

Tracerpt /l C:\windows\panther\setup.etl

Ces outils offrent de nombreuses options supplémentaires qui peuvent être consultées à l'aide de l'aide en ligne de commande intégrée. Dans tous les cas, Ils facilitent la conversion d'un fichier ETL complexe en un format plus facile à gérer. pour analyse ou soumission à des tiers.

Emplacements des journaux de touches lors de l'installation de Windows

Outre les itinéraires Panther et les installations temporaires, il existe plusieurs emplacements standard où Windows enregistre des données relatives au processus d'installation et au fonctionnement ultérieur du système.Voici quelques-unes des plus importantes.

Tout d'abord, le dossier %WINDIR%\Inf Il contient plusieurs fichiers journaux essentiels pour comprendre comment les pilotes et les applications sont installés et gérés. Plus précisément :

• setupapi.dev.log: enregistre l'installation, la mise à jour et la suppression des périphériques Plug and Play.
• setupapi.app.log: se concentre sur l'installation d'applications et de composants logiciels.

En revanche, des fichiers peuvent être générés lors du processus d'installation. volcan de la mémoire lorsque le système rencontre des erreurs de vérification graves. Deux exemples typiques sont :

• % WINDIR% \ Memory.dmp: vidage complet de la mémoire après une vérification d'erreur (écran bleu).
• %WINDIR%\Minidump.dmp: mini-vidages contenant des informations plus synthétiques sur la panne.

Dans les scénarios de préparation d'images ou d'automatisation, des journaux spécifiques sont également stockés dans % WINDIR% \ System32 \ Sysprep \ Panther, où sont rassemblés tous les éléments relatifs à l'utilisation de Sysprep pour généraliser les images Windows avant leur déploiement sur plusieurs ordinateurs.

Enfin, certaines applications tierces créent les leurs Les journaux d'installation se trouvent dans des chemins d'accès tels que C:\ProgramData\AppName\LogsUn exemple serait un fichier comme C:\ProgramData\inFlow Inventory\Logs\installer.logqui peut afficher des messages d'erreur très spécifiques, par exemple des erreurs d'exécution, lorsque le programme d'installation demande l'arrêt anormal de l'environnement d'exécution.

Types de fichiers de registre Windows autres que ceux utilisés pour l'installation

Les journaux d'installation ne représentent qu'une partie de l'ensemble des journaux gérés par Windows. Au quotidien, il est également important de prendre en compte… Quels autres types de bûches existent et à quoi servent-elles ?car très souvent, un échec d'installation est lié à un problème de système, de sécurité ou d'application.

Les principaux types d'enregistrements gérés par le système d'exploitation sont les suivants :

• Journaux systèmeCes journaux contiennent des informations sur les erreurs matérielles, les problèmes de pilotes, les événements de démarrage et d'arrêt, etc. Ils sont principalement consultés dans le cadre de journal des événements système.
• Journaux d'applicationIls collectent les événements générés par les programmes installés, tels que les plantages, les avertissements ou les informations de diagnostic.
• journaux de sécuritéIls se concentrent sur les événements de connexion, la gestion des comptes, l'accès aux ressources sensibles et tout ce qui concerne l'audit de sécurité.
• dossiers d'installationOutre ceux déjà mentionnés pour le système lui-même, de nombreuses applications génèrent leurs propres fichiers journaux lors de l'installation et de la désinstallation.
• Événements renvoyésIls servent à collecter les événements provenant d'équipements distants et à les centraliser dans une seule interface, ce qui est très utile en milieu professionnel.

L'ensemble de ces enregistrements peut être facilement exploré à partir de Observateur d'événementsqui organise les informations en catégories telles que « Journaux Windows » et « Journaux des applications et des services ». Dans cette dernière catégorie, vous verrez Fournisseurs de suivi d'événements pour Windows (ETW) qui permettent d'activer ou de désactiver l'enregistrement de composants individuels pour des diagnostics plus détaillés.

Où trouver les fichiers journaux physiques sur le disque

En plus de l'Observateur d'événements, il est utile de savoir où les fichiers journaux sont physiquement stockés sur le disqueau cas où vous auriez besoin de les copier, de les archiver ou de les analyser avec d'autres outils externes.

Les emplacements les plus courants dans les versions modernes de Windows sont les suivants :

• C:\Windows\System32\winevt\LogsC'est ici que sont stockés les fichiers .evtx, qui correspondent aux différents journaux que vous voyez dans l'Observateur d'événements (Application, Système, Sécurité, etc.).
• C:\Windows\Logs: dossier où peuvent apparaître les journaux relatifs à Windows Update, à la configuration du système et à d'autres tâches internes.
• C: \ Program Files et sous-dossiers : de nombreuses applications stockent leurs propres journaux dans leur répertoire d’installation, dans un dossier « logs » ou similaire.
• C:\Users\\AppData (Local et itinérance) : de nombreuses applications créent ici leurs propres fichiers journaux pour enregistrer les erreurs, les statuts et les opérations.

Connaître ces itinéraires vous aide à localiser Journaux supplémentaires expliquant pourquoi un programme d'installation s'arrête sans message d'erreurcar la défaillance peut avoir été enregistrée dans le journal de l'application, dans les journaux système ou dans un fichier de trace parallèle.

Utilisation de l'Observateur d'événements pour analyser les problèmes d'installation

L'Observateur d'événements ne sert pas seulement à ouvrir Setup.etl, mais il est aussi… Outil central pour consulter tous les journaux d'événements WindowsÀ partir d'ici, vous pouvez consulter les événements relatifs aux applications, à la sécurité, au système, à l'installation, à la configuration, etc., et les filtrer pour accéder directement à ce qui vous intéresse.

Pour l'ouvrir, il suffit d'appuyer sur Windows + R, Écrire eventvwr.msc et appuyez sur Entrée. À l'intérieur, dans la section Journaux WindowsVous trouverez les sections Application, Sécurité, Installation (ou Configuration, selon la version) et Système, ainsi que le journal des événements transférés. Chacune de ces sections affiche une liste chronologique des événements, avec leur niveau de gravité.

Dans la branche de Journaux des applications et des services Vous trouverez des fournisseurs ETW spécifiques pour différents composants et applications Windows. Vous pouvez ici activer ou désactiver la journalisation détaillée à des fins de diagnostic. problèmes très spécifiques d'un composant, idéal lorsqu'un journal général ne fournit pas un niveau de détail suffisant.

Lors de l'investigation des erreurs d'installation, il est souvent utile de combiner les informations contenues dans les fichiers setupapi de Panther et autres journaux textuels avec celles de l'Observateur d'événements, car De nombreuses erreurs importantes sont enregistrées sur les deux sites.fournir un contexte supplémentaire tel que des identifiants d'événement, des codes d'erreur système et des liens vers la documentation officielle.

Accès aux journaux via PowerShell et l'invite de commandes

Si vous souhaitez automatiser des tâches ou si vous avez besoin de collecter des informations à partir de scripts, vous pouvez accéder aux journaux Windows. sans ouvrir l'Observateur d'événementsen utilisant PowerShell ou l'invite de commandes.

Dans PowerShell, par exemple, vous pouvez interroger rapidement le journal système à l'aide d'applets de commande qui extraient les événements filtrés par date, type ou identifiant, ce qui est très pratique pour Automatiser les diagnostics après une panne d'installationBien que le contenu fourni se concentre davantage sur l'idée que sur les commandes exactes, les cmdlets typiques vous permettent d'effectuer ces requêtes de manière flexible.

À partir de l'invite de commandes, comme déjà mentionné, l'outil wevtutil vous permet Afficher, exporter et gérer les journaux d'événements, y compris celles liées à l'installation. Combiné à des scripts batch ou à des tâches planifiées, il s'avère très utile dans les environnements où de nombreuses machines doivent être surveillées simultanément.

Prises ensemble, ces options de ligne de commande s'intègrent parfaitement au reste des outils de journalisation, car Ils permettent l'intégration de la lecture des événements d'installation et système dans des flux de travail automatisés.Ceci est particulièrement intéressant dans les environnements d'entreprise ou pour les techniciens qui prennent en charge de nombreuses équipes.

Compte tenu de ce qui précède, il apparaît clairement que les journaux de Windows Installer, les fichiers Panther, les journaux SetupAPI et les événements de l'Observateur d'événements constituent un réseau d'informations très complet. Bien l'exploiter permet de passer de l'incertitude quant à la raison de l'échec d'installation à la capacité d'identifier précisément le pilote, le composant ou l'erreur système à l'origine du problème, offrant ainsi de nombreuses options pour le résoudre rapidement et efficacement.

Article connexe:

Analyse des fichiers journaux de démarrage tels que Ntbtlog.txt pour résoudre les problèmes de démarrage de Windows

Isaac

Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.